SIDN Labs Portfolio Checker

Versie 20170307
Als je een flink aantal domeinnamen hebt en je wilt deze beveiligen met DNSSEC, dan bestaat altijd het gevaar dat je een paar details over het hoofd ziet en niet alle domeinen correct gesigned zijn. SIDN Labs heeft daarom de DNSSEC portfolio-checker ontwikkeld, waarmee je dit op een snelle en eenvoudige manier kunt controleren.

Selecteer een CSV bestand met domeinnamen

FAQ

Hoe wordt er gecontroleerd?

Je uploadt een CSV bestand met domein namen. Alle namen worden gecontroleerd, dus ook niet-.nl domein namen. Er is een limiet ingesteld van 10000 domein namen (per run). Er wordt per domeinnaam een DNSSEC-validatie via Unbound uitgevoerd. De DNS-query vraagt om 'NS'-records. Er zal een willekeurige selectie van nameservers plaatsvinden. Er is geen garantie dat al je slave nameservers worden gecheckt. Als er geen NS-records zijn, levert dit een 'nodata'-antwoord op.

Hoe ziet de uitvoer eruit?

De uitvoer van deze check is:
domeinnaam, DNS error, security status, uitgebreide error indien bogus
De security-status kan zijn:

• secure: de domein naam is correct beveiligd met DNSSEC
• bogus: de domein naam is niet correct beveiligd met DNSSEC
• insecure: de domein naam is niet beveiligd met DNSSEC

Er kunnen legio oorzaken zijn als een domein bogus is. De error text van Unbound is bedoeld om hierover opheldering te verschaffen. De DNS-error is nodata als Unbound de gevraagde informatie (bijvoorbeeld NS records) niet kan vinden in het DNS. De uitvoer is gesorteerd op de security status, dus alle bogus domeinen komen vooraan te staan.

Kan er ook een enkele domein naam worden gecontroleerd?

Uiteraard is dat mogelijk door een bestand te uploaden dat maar één domein naam bevat. Of je kunt een URL gebruiken die een RESTful-achtige interface aanbiedt:

Bijvoorbeeld: portfolio.sidnlabs.nl/check/www.example.nl

LET OP: hier wordt om 'A'-records gevraagd. De uitvoer is gelijk aan de portfolio-checker uitvoer (CSV). Optioneel kan aan de RESTful interface ook een DNS recordtype worden meegeven, zodat er om iets anders gevraagd wordt dan een A record.

Bijvoorbeeld: portfolio.sidnlabs.nl/check/example.nl/TXT

De lijst van DNS types die gebruikt kunnen worden is: SOA, A, NS, MX, TXT, AAAA, SRV, DS en DNSKEY . De uitvoer daarvan is gelijk aan de portfolio-checker uitvoer (CSV),

Welke software wordt gebruikt?

Deze portfolio-checker gebruikt:

• Libunbound van NLnet Labs
• De taal Go

De software zelf is open source en is te vinden op github.com/SIDN/unboundcheck. De gebruikte packages zijn github.com/miekg/dns en github.com/miekg/unbound.

Disclaimer

Dit is bèta software De software wordt expliciet niet ondersteund door SIDN, maar door SIDN Labs. De uitvoer kan op enig moment veranderen. Dus het advies is om voor belangrijk eigen gebruik, zelf de code te compileren en deze tool op een eigen systeem te draaien. Eenvoudige installatie-instructies staan op GitHub. Neem bij problemen met het gebruik van deze software contact op met SIDN Labs via: onze informatiepagina. SIDN kan de portfolio-checker zelf gebruiken voor statistische doeleinden (% errors in de .nl-zone, etc.), maar zal geen data publiceren over registrars.